กำหนดค่าไฟร์วอลล์ที่ไม่ซับซ้อน (UFW) บน Ubuntu 14.04

• ติดตั้ง UFW
• อนุญาตการเชื่อมต่อ
• ปฏิเสธการเชื่อมต่อ
• อนุญาตการเข้าถึงจากที่อยู่ IP ที่เชื่อถือได้
• เปิดใช้งาน UFW
• ตรวจสอบสถานะ UFW
• ปิดใช้งาน / โหลด / รีสตาร์ท UFW
• การลบกฎ
• การเปิดใช้งานการสนับสนุน IPv6
• กลับไปที่การตั้งค่าเริ่มต้น
• ข้อสรุป

ความปลอดภัยเป็นสิ่งสำคัญเมื่อคุณเรียกใช้เซิร์ฟเวอร์ของคุณเอง คุณต้องการให้แน่ใจว่ามีเพียงผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงเซิร์ฟเวอร์การกำหนดค่าและบริการของคุณ

ใน Ubuntu มีไฟร์วอลล์ที่โหลดไว้ล่วงหน้า มันเรียกว่า UFW (Uncomplicated Firewall) ถึงแม้ว่า UFW จะเป็นไฟร์วอลล์พื้นฐานที่สวยงาม แต่ก็เป็นมิตรต่อผู้ใช้และสามารถกรองปริมาณการใช้งาน ความรู้พื้นฐานเกี่ยวกับลินุกซ์บางอย่างควรเพียงพอที่จะกำหนดค่าไฟร์วอลล์นี้ด้วยตัวคุณเอง

ติดตั้ง UFW

ขอให้สังเกตว่าโดยทั่วไปแล้วจะติดตั้ง UFW ตามค่าเริ่มต้นใน Ubuntu แต่ถ้ามีอะไรคุณสามารถติดตั้งได้ด้วยตัวเอง ในการติดตั้ง UFW ให้รันคำสั่งต่อไปนี้

sudo apt-get install ufw

อนุญาตการเชื่อมต่อ

หากคุณใช้งานเว็บเซิร์ฟเวอร์คุณต้องการให้โลกสามารถเข้าถึงเว็บไซต์ของคุณได้ ดังนั้นคุณต้องแน่ใจว่าพอร์ต TCP เริ่มต้นสำหรับเว็บเปิดอยู่

sudo ufw allow 80/tcp

โดยทั่วไปคุณสามารถอนุญาตพอร์ตใด ๆ ที่คุณต้องการโดยใช้รูปแบบต่อไปนี้:

sudo ufw allow <port>/<optional: protocol>

ปฏิเสธการเชื่อมต่อ

หากคุณต้องการปฏิเสธการเข้าถึงพอร์ตใดพอร์ตหนึ่งให้ใช้สิ่งนี้:

sudo ufw deny <port>/<optional: protocol>

ตัวอย่างเช่นลองปฏิเสธการเข้าถึงพอร์ต MySQL เริ่มต้นของเรา

sudo ufw deny 3306

UFW ยังรองรับไวยากรณ์ที่ง่ายขึ้นสำหรับพอร์ตบริการทั่วไป

root@127:~$ sudo ufw deny mysql
Rule updated
Rule updated (v6)

ขอแนะนำอย่างยิ่งให้ จำกัด การเข้าถึงพอร์ต SSH ของคุณ (โดยค่าเริ่มต้นคือพอร์ต 22) จากทุกที่ยกเว้นที่อยู่ IP ที่เชื่อถือได้ของคุณ (ตัวอย่าง: สำนักงานหรือที่บ้าน)

อนุญาตการเข้าถึงจากที่อยู่ IP ที่เชื่อถือได้

โดยทั่วไปคุณจะต้องอนุญาตให้เข้าถึงเฉพาะพอร์ตสาธารณะที่เปิดเช่นพอร์ต 80 การเข้าถึงพอร์ตอื่น ๆ ทั้งหมดจะต้องถูก จำกัด หรือ จำกัด คุณสามารถทำรายชื่อที่อยู่ IP / ที่บ้านของคุณ (ควรเป็น IP แบบคงที่) เพื่อให้สามารถเข้าถึงเซิร์ฟเวอร์ของคุณผ่าน SSH หรือ FTP

sudo ufw allow from 192.168.0.1 to any port 22

ลองอนุญาตการเข้าถึงพอร์ต MySQL

sudo ufw allow from 192.168.0.1 to any port 3306

ดูดีขึ้นแล้ว ไปกันเถอะ

เปิดใช้งาน UFW

ก่อนที่จะเปิดใช้งาน (หรือเรียกคืน) UFW คุณต้องตรวจสอบให้แน่ใจว่าพอร์ต SSH ได้รับอนุญาตให้รับการเชื่อมต่อจากที่อยู่ IP ของคุณ ในการเริ่ม / เปิดใช้งานไฟร์วอลล์ UFW ของคุณใช้คำสั่งต่อไปนี้:

sudo ufw enable

คุณจะเห็นสิ่งนี้:

root@127:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

พิมพ์Yจากนั้นกดEnterเพื่อเปิดใช้งานไฟร์วอลล์

Firewall is active and enabled on system startup

ตรวจสอบสถานะ UFW

ดูกฎทั้งหมดของคุณ

sudo ufw status

คุณจะเห็นผลลัพธ์คล้ายกับต่อไปนี้

sudo ufw status
Firewall loaded

To                         Action  From
--                         ------  ----
22:tcp                     ALLOW   192.168.0.1
22:tcp                     DENY    ANYWHERE

ใช้พารามิเตอร์ "verbose" เพื่อดูรายงานสถานะโดยละเอียดเพิ่มเติม

sudo ufw status verbose

ปิดใช้งาน / โหลด / รีสตาร์ท UFW

หากต้องการปิดใช้งาน (หยุด) UFW ให้เรียกใช้คำสั่งนี้

sudo ufw disable

หากคุณต้องการโหลด UFW (กฎการโหลดซ้ำ) ให้เรียกใช้สิ่งต่อไปนี้

sudo ufw reload

ในการเริ่มต้น UFW ใหม่คุณจะต้องปิดใช้งานก่อนจากนั้นจึงเปิดใช้งานอีกครั้ง

sudo ufw disable
sudo ufw enable

อีกครั้งก่อนเปิดใช้งาน UFW ตรวจสอบให้แน่ใจว่าอนุญาตให้ใช้พอร์ต SSH สำหรับที่อยู่ IP ของคุณ

การลบกฎ

ในการจัดการกฎ UFW ของคุณคุณต้องแสดงรายการเหล่านั้น คุณสามารถทำได้โดยตรวจสอบสถานะ UFW ด้วยพารามิเตอร์ "numbered" คุณจะเห็นผลลัพธ์คล้ายกับต่อไปนี้

root@127:~$ sudo ufw status numbered
Status: active

To                              Action      From
--                              ------      ----
[ 1] 22                         ALLOW IN    192.168.0.1
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 3306                       ALLOW IN    192.168.0.1
[ 4] 22                         DENY IN     Anywhere

สังเกตเห็นตัวเลขในวงเล็บเหลี่ยมหรือไม่ ตอนนี้หากต้องการลบกฎเหล่านี้คุณจะต้องใช้หมายเลขเหล่านี้

sudo ufw delete [number]

การเปิดใช้งานการสนับสนุน IPv6

หากคุณใช้ IPv6 บน VPS ของคุณคุณต้องตรวจสอบให้แน่ใจว่ารองรับ IPv6 ใน UFW หากต้องการทำเช่นนั้นให้เปิดไฟล์กำหนดค่าในโปรแกรมแก้ไขข้อความ

sudo nano /etc/default/ufw

เมื่อเปิดแล้วตรวจสอบให้แน่ใจว่าIPV6ได้ตั้งค่าเป็น "ใช่":

IPV6=yes

หลังจากทำการเปลี่ยนแปลงนี้แล้วให้บันทึกไฟล์ จากนั้นเริ่มต้น UFW ใหม่โดยปิดใช้งานและเปิดใช้งานอีกครั้ง

sudo ufw disable
sudo ufw enable

กลับไปที่การตั้งค่าเริ่มต้น

หากคุณต้องการกลับไปที่การตั้งค่าเริ่มต้นเพียงพิมพ์คำสั่งต่อไปนี้ การดำเนินการนี้จะคืนค่าการเปลี่���นแปลงของคุณ

sudo ufw reset

ข้อสรุป

โดยรวมแล้ว UFW สามารถปกป้อง VPS ของคุณจากความพยายามในการแฮ็คที่พบบ่อยที่สุด แน่นอนมาตรการรักษาความปลอดภัยของคุณควรมีรายละเอียดมากกว่าแค่ใช้ UFW อย่างไรก็ตามมันเป็นการเริ่มต้นที่ดี (และจำเป็น)

หากคุณต้องการตัวอย่างเพิ่มเติมของการใช้ UFW คุณสามารถอ้างถึงUFW - ความช่วยเหลือของชุมชนวิกิพีเดีย